Zum hauptinhalt springen

Suche Entspannung, finde Datenleck

Hotels stehen für Schlaf, Urlaub, Reisen – und wohl auch für Datenlecks. Erneut haben wir eine Sicherheitslücke bei einer Hotelsoftware gefunden, diesmal mit vielen Millionen Betroffenen aus den letzten 10 Jahren. Mit dabei: ein saarländischer Softwareanbieter, eine Münchner Motel-Kette und (wie immer) ein zählendes Zerforschi.

Die Kurzfassung vorab:
Wir haben eine Reihe von Sicherheitslücken in SIHOT.WEB und SIHOT.GO! gefunden, die Zugriff auf die Reservierungs- und Gästedaten im System erlaubten.

Betroffen waren unter anderem die DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz und dem Saarland, die Arbeiterwohlfahrtstochter AWO SANO, Motel One, der DeHoGa-Campus und eine Reihe von Hotelketten mit Namen wie “Fidelis” und “GSH”.

Dabei wären nach unserer Schätzung insgesamt mehr als 35,5 Mio. Reservierungen und 48,5 Mio. Gästeprofile abrufbar gewesen. Alleine bei Motel One hätten damit schätzungsweise über 30 Mio. Reservierungen und mehr als 40 Mio. Gästeprofile abgerufen werden können, darunter auch Spitzenpolitiker*innen.

Doch was genau ist passiert?

Hotel: Check-in 🤝 Daten: Check-Out

Alte Postkarte von mehreren Hotels am Wasser, “Grüße vom Hotel am Data Lake”

Guter Schlaf ist wichtig. Das wissen auch Hotels – und versprechen mehr davon, wenn man schon vor Ankunft online eincheckt. Natürlich ist es auch günstiger für die Betreiber, Personal an der Rezeption einzusparen und stattdessen eine Maschine hinzustellen. Oder noch besser: den Check-In einfach komplett durch die Gäste auf ihren Smartphones erledigen zu lassen.

Das ist schon auch komfortabel, aber spätestens seit die Sicherheitslücken bei der Hotelkette Numa bekannt wurden, haben wir bei der Kombination aus “Online-Check-In” und “mehr Schlaf” aber doch ein paar Fragezeichen im Kopf. Denn uns interessiert natürlich: Wie funktioniert der Check-In technisch und können wir ihm vertrauen?

Spoiler: Nope, leider nicht…

Kommt mit auf eine Datenreise.

Seit dem 1. April ist Bubatz legal, Datenlecks aber weiterhin nicht

Minenarbeiter-Miniaturen auf einem übergroßen Brokolli

Kiffer aller (Bundes-)Länder vereinigt euch und jubelt, seit dem 01.04. ist Bubatz legal1. In freudiger Erwartung auf den 01.07., an dem die nächsten Regelungen aus dem Cannabis-Gesetz in Kraft treten, sprießen nun in ganz Deutschland die Cannabis Social Clubs (CSCs) aus dem Boden und brauchen zum Wachsen nicht nur Samen, Wasser und viel Licht, sondern natürlich auch gute Software. So gibt es schon jetzt eine ganze Reihe Anbieter, die den neuen Markt gerochen2 haben und speziell auf CSCs ausgerichtete Software anbieten.

Als wir davon gehört haben, hatten wir gleich so ein Kratzen im Hals und ein schlechtes Bauchgefühl – das sich leider bestätigte: Nach kurzer Zeit fanden wir ein Datenleck mit Details von mehr als 1.000 CSC-Interessierten - und das Resultat von schlechter Gesetzgebung.

How we tried to book a train ticket and ended up with a databreach with 245,000 records

A model of a steam locomotive with French and German flags,a Trans-Europ-Express wagon attached. The train is losing tickets

To celebrate Franco-German friendship, German Transport Minister Wissing and his French counterpart Beaune came up with something special: 30,000 free Interrail tickets per country for travel in Germany and France for young adults between 18 and 27. Codename: “Passe France Allemagne”

However, many things went wrong when the Interrail passes were distributed. In the following, we want to take you on a journey through the stages of the not-so-well-implemented ticket and show you how you could still get a pass after registration ended.

And while we’re on the tracks, we’ll also have a look at a security breach in a similar project at the EU level. Implemented by the same agency - which left the data of about 245,000 registrations almost unprotected on the web.

Please stand clear of the doors – we’re departing! 🚄🚃🚃🚃🚃

Wie wir ein Bahnticket buchen wollten und am Ende 245.000 Datensätze hatten

Ein Modell einer Dampflok mit französischen und deutschen Fahnen, einem angehängten Trans-Europ-Express-Waggon. Der Zug verliert Tickets

Um die deutsch-französische Freundschaft zu feiern, haben sich Bundesverkehrsminister Wissing und sein französischer Kollege Beaune etwas Besonderes ausgedacht: Je Land 30.000 kostenlose Interrail-Tickets für Reisen in Deutschland und Frankreich für junge Erwachsene zwischen 18 und 27.

Allerdings lief beim Verteilen der Interrail-Pässe einiges schief. Im Folgenden wollen wir euch mitnehmen auf eine Reise durch die Stationen des nicht ganz so gut umgesetzten Tickets und zeigen, wie man auch nach Ende der Registrierung noch an einen Pass kommen konnte.

Und wenn wir schonmal unterwegs sind, präsentieren wir gleich mit: Eine Sicherheitslücke in einem ähnlichen Projekt auf EU-Ebene – umgsetzt von der gleichen Agentur – wodurch die Daten von rund 245.000 Registrierungen nahezu ungeschützt im Netz standen.

Bitte zurücktreten – die Türen schließen und wir fahren ab! 🚄🚃🚃🚃🚃

Presents versus privacy

Burning gift box between building blocks

On the Internet no one knows you’re a dog creating content – but everyone knows you love support from your fans (whether in the form of technical devices, energy drinks or feed). However, it’s not a good idea to leave your home address online where overzealous fans or malicious stalkers might find it. For this reason, services have emerged that seek to enable creators to receive physical gifts without compromising their privacy.

But how good do they actually protect your address? Let’s have a look…

Geschenke, Geschenke, Geschenke!

Brennende Geschenkebox zwischen Bauklötzen

Wer Videos dreht und ins Internet stellt, freut sich über Liebe von seinen Fans – gerne auch in Form von Geschenken. Von technischem Equipment über Energydrinks bis hin zu Kleidung, der Kreativität sind keine Grenzen gesetzt. Die eigene Wohnadresse sollte aber besser nirgendwo landen, wo sie übereifrige Fans oder bösartige Stalker finden könnten. Deshalb gibt es Dienste, die einem beides ermöglichen wollen: Einerseits Geschenke bekommen und andererseits seine Adresse nicht dem gesamten Internet verraten zu müssen.

Problematisch wird’s, wenn so ein Dienst dabei Mist baut und diese Adressen doch leakt. Genau das ist aber passiert. Wie es dazu kam…

⚠️ Warning: do not use Hive Social 👉🐝👈

Beekeeper opening a beehive, colorized, 2022

Update: The vulnerabilities are currently no longer exploitable because Hive deactivated their servers. More details


Following the Twitter takeover, a number of services promising to be an alternative gained traction. One of those is “Hive Social”, which reached more than a million users in the last weeks.

Of course, we were interested and took a look at Hive from a security standpoint. We found a number of critical vulnerabilities, which we confidentially reported to the company. After multiple attempts to contact the company we finally reached them by phone and they acknowledged the report. After multiple days and multiple reminders by us, they claimed to fix them within the next two days. However after those two days, multiple vulnerabilities we reported were not fixed and still existed at the time of writing.

⚠️ We strongly advise against using Hive in any form in the current state.